Хакерская «сойка-пересмешница» облетает любые EDR-преграды и успешно выполняет вредоносный код

Новый способ внедрения кода в легитимные процессы, названный исследователями «Mockingjay» (сойка-пересмешница), может позволить злоумышленникам обходить популярные EDR-решения и другие средства защиты, обеспечивая скрытное выполнение вредоносного кода на заражённых системах.

Специалисты компании Security Joes обнаружили метод , который использует законные DLL-файлы с RWX-секциями для избежания EDR-хуков и удалённого внедрения кода в законные процессы.

Внедрение кода в процесс — это метод выполнения произвольного кода в адресном пространстве другого запущенного процесса, которому доверяет операционная система. Таким образом, злоумышленники могут запускать вредоносный код с крайне низкими шансами себя обнаружить.

Примеры техник внедрения кода в процесс включают, например, DLL-внедрение, PE-внедрение, захват исполнения потока, опустошение процесса и т.п. Во всех этих техниках атакующие используют Windows API и различные системные вызовы к нему для создания потока в целевом процессе, записи памяти процесса и т.д.

Инструменты кибербезопасности, отслеживающие определённые действия из вышеуказанного перечня, вполне могут обнаруживать такие атаки и оперативно их блокировать. Однако исследователи Security Joes утверждают, что Mockingjay отличается от других распространённых подходов тем, что не использует часто злоупотребляемые вызовы Windows API, не устанавливает специальных разрешений, не выделяет память и даже не запускает поток внутри целевого процесса. Таким образом, устраняется целый ряд возможностей для обнаружения угрозы специализированным ПО.

При разработке данного метода целью исследователей была найти уязвимый DLL-файл с RWX-секцией по умолчанию, чтобы они могли изменять его содержимое для загрузки вредоносного кода без выполнения дополнительных шагов, таких как получение дополнительных разрешений, которые могли бы вызвать подозрения у программ безопасности.

В поисках подходящего DLL-файла аналитики Security Joes обнаружили DLL «msys-2.0.dll» в составе Visual Studio 2022 Community Edition, который имел RWX-секцию по умолчанию размером 16 КБ.

«Используя эту существующую RWX-секцию, мы можем использовать преимущества защиты памяти, которую она предлагает, эффективно обходя EDR-алгоритмы. Этот подход не только обходит ограничения, наложенные пользовательскими хуками, но и создаёт надёжную и стабильную среду для нашей техники внедрения», — говорится в отчёте.

Все технические подробности работы метода Mockingjay можно посмотреть в техническом отчёте Security Joes.

Разработка Mockingjay — это ещё одно наглядное свидетельство того, почему организации должны использовать комплексный подход к безопасности, а не полагаться только на существующие решения EDR. Чем больше препятствий будет на пути хакеров, тем меньше вероятность, что они смогут успешно реализовать свои вредоносные планы.